Auditece logo

Publicado em: 05/10/2016

Notícias da Auditece

Entenda a função de um software VNC na sua estação de trabalho

Entenda a função de um software VNC na sua estação de trabalho

A Diretoria da AUDITECE, entidade que legitimamente representa os Auditores-Fiscais da Receita Estadual do Ceará, oficiou ontem (4) o Secretário da Fazenda Estadual Mauro Filho a respeito da instalação de um software “VNC” nas estações de trabalho dos auditores-fiscais. O programa permite não apenas a visualização, por parte de terceiros, do trabalho desempenhado pelo AFRE, mas também a alteração/manipulação dos dados e arquivos que estão naquela CPU. Além disso, a circunstância reportada se constitui em quebra do sigilo fiscal, tendo em vista que abre o acesso aos dados a terceiros não autorizados.

O que isso significa?

 

O VNC (Virtual Network Computing) é um protocolo de internet que, a priori, permite a visualização, de interfaces gráficas remotas através de uma conexão entre dois ou mais computadores (Um SERVIDOR e um ou mais CLIENTES).

Isso quer dizer que, numa conexão via VNC, o SERVIDOR poderá remotamente e em segundo plano, sem que o CLIENTE saiba:

 - Visualizar e/ou monitorar a tela do CLIENTE, como se estivesse em frente ao monitor;

- Capturar os dados ou senhas digitadas, com o uso do app Revealer Keylogger

- Assumir total controle dos periféricos, como mouse, teclado, WebCam, CD ROM etc;

- Acessar, criar, apagar e alterar arquivos em todos os dispositivos conectados (Pen Drive, HD’s, CD etc).

Enfim, através de uma conexão VNC, o SERVIDOR assume o papel de usuário do computador CLIENTE, fazendo quaisquer operações como se estivesse em frente ao PC. 

 

Mas, se é tão ruim assim, por que e como ele é utilizado nas grandes corporações? 

O protocolo VNC é bastante utilizado por profissionais que prestam assistência técnica a outros usuários, já que esse protocolo permite a interação completa do computador CLIENTE com o computador SERVIDOR. A conexão estabelecida entre as duas máquinas é altamente protegida, fazendo uso tanto de encriptação de dados quanto de logon seguro, o que faz essa modalidade de conexão bastante famosa e largamente utilizada tanto na indústria quanto no meio acadêmico.

Normalmente, para o estabelecimento dessa conexão, faz-se necessária a concessão de permissão de acesso. Esta permissão é a garantia de privacidade do computador CLIENTE contra acessos não autorizados.

Na SEFAZ, com intuito de proteger as informações dos contribuintes sujeitas ao sigilo fiscal, essa permissão de acesso é imprescindível.

No caso de haver necessidade de uma prestação de assistência técnica remota, o usuário do PC CLIENTE, executaria o programa VNC, e autorizaria o acesso à sua máquina. Mas, previamente, removeria os dispositivos de armazenamento portáteis (Pen Drive, HD’s, CD etc), que contêm os arquivos do contribuinte e os papéis de trabalho da Auditoria.

Como o programa está sendo utilizado nas estações de trabalho da SEFAZ/CE?

 No caso dos terminais corporativos da SEFAZ/CE, o programa VNC está sendo executado automaticamente na inicialização do Windows e colocado em estado Ready for connections, ou seja, “Pronto para conexões”, conforme ilustra a imagem acima.

 

Como isso pode afetar o trabalho desempenhado pelo auditor-fiscal? 

Cabe ressaltar que o sigilo fiscal que protege os arquivos e demais informações fiscais do contribuinte é repetida e exaustivamente colacionado nas legislações vigentes. Como podemos citar

- Art. 198º da Lei 5.172/66 (CTN);

- Art. 4º, XVI da LC 130/14 (Código de Defesa do Contribuinte);

- Art. 4º, XVI do Decreto 31.591/14 (Código de Defesa do Contribuinte);

- Art. 815º, do Decreto 24.569/97 (RICMS). 

Destaque-se ainda que, em último caso, a quebra deste sigilo acarreta a demissão funcional, conforme preceitua o Art.199, VIII da Lei 9.826/74 (Estatuto dos Funcionários Públicos - CE) e lembra-se que a referida lei penaliza apenas servidores públicos, não abrangendo os funcionários que executam as atividades de assistência técnica em informática, que são terceirizados.

 

Saiba mais sobre o assunto: 

Casos de falhas de segurança

Backoff e Citadel: ataques de acesso remoto em pauta novamente

Vulnerabilidade VNC permite “logar” sem senha?

Invasão por VNC

 

Vídeos

Ataque às redes VNC  (em espanhol)

Invasão às redes VNC

Acesso às senhas digitadas

 

Leia também:

AUDITECE oficia Secretário sobre presença de software "VNC" nas estações de trabalho dos AFREs